Mange offentlige instanser og mellemstore virksomheder tror fejlagtigt, at EU's lovgivning om kunstig intelligens udelukkende er et problem for store, internationale tech-giganter. Virkeligheden forholder sig meget anderledes. Lovgivningen betyder i praksis, at ansvaret for sikker, etisk og korrekt brug af teknologien falder direkte tilbage på jer som arbejdsplads, når jeres ansatte tager systemerne i brug. Ifølge Datatilsynets retningslinjer er det altid ledelsens opgave at have fuldt overblik over, hvilke systemer der anvendes, og at personoplysninger ikke deles i strid med gældende lovgivning. Løsningen er ikke at slukke for teknologien, men at skabe faste, sikre rammer. Her får du opskriften på, hvordan din arbejdsplads omsætter komplekse krav til håndgribelige regler og arbejdsgange for medarbejderne.
Hovedpointer:
- Ansvaret ligger internt: Reglerne rammer ikke kun dem der udvikler softwaren, men jer der bruger den i hverdagen.
- Gennemsigtighed er et krav: Din organisation skal vide præcis, hvilke systemer der benyttes til hvilke opgaver.
- Mennesket har altid det sidste ord: AI må forberede udkast og opsummere, men må aldrig træffe selvstændige beslutninger.
- Kultur slår koder: Compliance sikres bedst ved at opkvalificere jeres folk, så de forstår sikker brug i praksis.
Hvad kræver EU's AI Act konkret af jer?
EU's AI Act trådte gradvist i kraft fra 2024 og indfases fuldt ud i 2026. Den opdeler AI-systemer i risikoklasser og stiller forskellige krav afhængigt af, hvad I bruger teknologien til.
Krav 1: I skal vide, hvilke AI-systemer I bruger
Loven kræver, at I kan dokumentere jeres brug. Det er ikke nok at sige "vi bruger lidt ChatGPT". I skal have et overblik: hvilke systemer, til hvilke formål, med hvilke data. Hvis I ikke kan svare på det i dag, er I allerede i en gråzone.
Konkret handling: Lav en liste over alle AI-værktøjer i brug på tværs af afdelinger, også dem ingen officielt har godkendt. Det kan gøres med en simpel spørgeskemarundering til afdelingslederne.
Krav 2: Høj-risiko-systemer kræver særlig dokumentation
Bruger I AI til rekruttering, kreditvurdering, prioritering af borgersager eller sundhedsfaglige vurderinger, er I i høj-risiko-kategorien. Her kræver loven skriftlig risikovurdering, løbende menneskelig kontrol og dokumentation af, hvordan systemet træffer sine anbefalinger.
Konkret eksempel: Et jobcenter der bruger et digitalt screeningsværktøj til at prioritere borgere til aktivering, skal dokumentere hvilke parametre systemet bruger, og en sagsbehandler skal aktivt godkende eller afvise anbefalingen. Det er ikke nok, at systemet "blot foreslår".
Krav 3: Generelle AI-værktøjer kræver intern styring
ChatGPT, Copilot og lignende generelle modeller falder under en lettere kategori, men I har stadig ansvar for, hvordan jeres medarbejdere bruger dem. Loven placerer ansvaret hos arbejdsgiveren, ikke hos OpenAI eller Microsoft.
Konkret handling: I behøver ikke certificere jer eller hente ekstern revision. Men I skal have en nedskrevet politik og kunne dokumentere, at medarbejderne er vejledt i sikker brug.
Krav 4: Gennemsigtighed over for borgere og kunder
Hvis AI er involveret i en beslutning eller kommunikation rettet mod en person, skal det fremgå.
Konkret handling: Tilføj en kort standardformulering til AI-genereret udgående kommunikation. Fx: "Dette svar er udarbejdet med assistance fra et AI-redskab og gennemset af [navn/team]."
Opgøret med uofficiel skygge-IT på kontoret
Den største compliance-udfordring i danske virksomheder og styrelser er sjældent de store, officielt indkøbte IT-systemer. Problemet opstår nede ved skrivebordene.
Forestil dig HR-chefen i en mellemstor virksomhed i Odense, der skal onboarde 12 nye medarbejdere på blot tre måneder. Hun har travlt og uploader derfor et par gamle ansættelseskontrakter og interne politikker til et gratis online-værktøj for hurtigt at få genereret opdaterede versioner. Uden at vide det har hun netop delt virksomhedens interne data og potentielt personfølsomme oplysninger med en ekstern sprogmodel, der bruger dataene til træning.
Dette er kernen i arbejdet med AI Act Danmark. Lovgivningen kræver, at I får lukket ned for denne ustrukturerede brug. I skal skifte den tilfældige adgang ud med sikre, lukkede erhvervsløsninger, hvor jeres data forbliver jeres egne. Tænk på det som firmaets biler: Man låner ikke bare en tilfældig bil på gaden, når man skal ud til en kunde. Man bruger den bil, virksomheden har godkendt, forsikret og stillet til rådighed.
Hvad indeholder en konkret AI-politik?
For at overholde reglerne har jeres arbejdsplads brug for en nedskrevet politik. Det behøver ikke være et tungt juridisk dokument. Det fungerer bedst skrevet i et sprog alle forstår, bygget op omkring tre søjler:
1. Godkendte platforme og login-krav
Dokumentet skal eksplicit liste de værktøjer medarbejderne må bruge. Det kan for eksempel være, at I udelukkende tillader brug af Copilot, og at adgangen udelukkende må ske via det officielle arbejds-login. Politikken skal klart forklare, at private konti ikke må anvendes til arbejdsrelaterede opgaver.
2. Klar data-klassifikation
Medarbejderne skal have en simpel tommelfingerregel for, hvad der må tastes ind i systemet:
| Må bruges i AI-værktøjet | Må ikke bruges i AI-værktøjet |
|---|---|
| Offentligt tilgængeligt materiale | CPR-numre og personnumre |
| Generiske mailskabeloner uden navne | Patientdata og helbredsoplysninger |
| Intern faglig sparring uden persondata | Fortrolige sagsakter |
| Opsummering af egne notater uden klientinfo | Forretningshemmeligheder og prismodeller |
| Brainstorm og idégenerering | Oplysninger om konkrete navngivne borgere eller kunder |
Tabellen skal hænge synligt på intranettet og i frokoststuen, ikke gemmes i et dokument ingen finder.
3. Reglen om menneskelig kontrol
Politikken skal understrege "Human in the loop": en medarbejder skal altid læse, vurdere og kvalitetssikre et output, før det sendes videre.
Sådan ser det ud i praksis: AI skriver et udkast til et afslag på en ansøgning. Sagsbehandleren læser det, kontrollerer at faktaoplysningerne er korrekte, justerer tonen og sætter sit navn på. Først derefter sendes det. AI-outputtet er startpunktet, ikke slutproduktet.
Sikkerhedskultur kræver sidemandsoplæring
En god politik i en PDF-fil løser ingenting i sig selv. IT-chefen i en kommune knokler i månedsvis med at implementere en ny topsikret løsning og sender et reglement ud på mail. Tre uger senere falder halvdelen af medarbejderne tilbage til deres gamle arbejdsgange, fordi de ikke forstår det nye system og frygter at gøre noget forkert.
Erfaringen er entydig: succes med teknologien handler ti procent om software og halvfems procent om vaner.
Hvad virker konkret:
- Fysiske øvelsessessioner i små grupper: Medarbejderne sidder med deres egne computere og løser opgaver fra deres eget daglige arbejde. Ikke konstruerede eksempler. Ikke PowerPoint. Hænderne på tastaturet.
- En navngiven go-to-person per afdeling: Ikke IT-chefen der sidder to etager oppe. En kollega i samme team der ved, hvad der er tilladt, og som folk tør spørge uden at føle sig dumme.
- Løbende micro-opdateringer fremfor én stor årsgennemgang: Send tre konkrete eksempler ud hver anden måned. "Her er noget en kollega gjorde rigtigt. Her er noget der gik galt og hvorfor." Kort, konkret, genkendelig.
Key takeaways: Din tjekliste til næste ledelsesmøde
- Kortlæg jeres nuværende brug: Find ud af, hvilke uofficielle værktøjer der allerede lever ude i afdelingerne. Brug et simpelt spørgeskema til afdelingslederne.
- Identificer jeres risikoniveau: Bruger I AI til afgørelser der påvirker borgere eller medarbejdere direkte? Så er I i høj-risiko-kategorien og skal dokumentere mere.
- Vælg den sikre løsning: Investér i enterprise- eller erhvervslicenser, der garanterer, at jeres data ikke bruges til at træne offentlige modeller.
- Skriv retningslinjerne i øjenhøjde: Lav en AI-politik med en tydelig liste over godkendte værktøjer, en data-klassifikationstabel og reglen om menneskelig kontrol.
- Tilføj gennemsigtighedsformulering: Beslut hvilken standardtekst I bruger, når AI har været involveret i udgående kommunikation.
- Træn medarbejderne i hænderne: Brug tid på praktisk sidemandsoplæring frem for at sende manualer ud. Udpeg en go-to-person per afdeling.
Ved at tage styringen og vise medarbejderne, hvordan de bruger teknologien sikkert og korrekt, skabes der rum til at udnytte AI's potentiale uden nervøsitet. Det begynder med kortlægning, fortsætter med klare retningslinjer og forankres gennem træning.
Ofte stillede spørgsmål
Bruno Poulsen er partner i Poulsen & Vinding, et konsulenthus der hjælper danske virksomheder og styrelser med at tage generativ AI i brug i den daglige drift. Han er senior underviser hos Bigum&Co gennem 10+ år og har siden 2023 stået bag AI-implementeringer, foredrag og workshops for blandt andre Lægemiddelstyrelsen, GS1 Danmark, Bornholms Højskole og 30+ bornholmske SMV’er via Business Center Bornholm. Skriver om praktisk anvendelse af AI-værktøjer, prompt engineering og hvordan ledelser kommer i gang mandag morgen kl. 08.00.
